大家新年第一個(gè)工作日好。
今天看到了一個(gè)令人震驚的消息,幾乎所有的硬盤都被美國安全局植入監(jiān)控代碼,這個(gè)對存儲業(yè)影響很大,因此還是想和大家來聊一聊。
我們先來看一下新聞是怎么說的:
網(wǎng)易科技訊 2月17日消息,據(jù)路透社報(bào)道,網(wǎng)絡(luò)研究者和美國國家安全局(NSA)前特工表示,NSA已經(jīng)知道如何在西部數(shù)據(jù)、希捷、東芝等公司生產(chǎn)的硬盤中深度隱藏間諜軟件,從而竊聽全世界大部分電腦。
莫斯科安全軟件廠商卡巴斯基發(fā)現(xiàn),30個(gè)國家的PC都被安裝了1個(gè)或更多的間諜程序,其中感染最嚴(yán)重國家為伊朗、俄羅斯、巴基斯坦、阿富汗、中國、馬里、敘利亞、也門和阿爾及利亞。目標(biāo)包括政府和軍事機(jī)構(gòu)、電信公司、銀行、能源公司、核能研究機(jī)構(gòu)、媒體和伊斯蘭激進(jìn)分子。
卡巴斯基拒絕公開指明是哪個(gè)國家在這么做,但表示這與NSA領(lǐng)導(dǎo)開發(fā)的網(wǎng)絡(luò)武器、曾用于攻擊伊朗鈾濃縮工廠的Stuxnet(震網(wǎng)病毒)有關(guān)。NSA是代表美國政府收集電子情報(bào)的機(jī)構(gòu)。該機(jī)構(gòu)前雇員表示,卡巴斯基的分析是正確的,還在NSA的人將這些間諜計(jì)劃看得與Stuxnet一樣重要。
另一位前情報(bào)特工證實(shí),NSA開發(fā)了在硬盤中隱藏間諜軟件的技術(shù),但他不知道用于何種間諜行動(dòng)。NSA女發(fā)言人瓦尼·懷恩斯(Vanee Vines)拒絕發(fā)表評論。
周一卡巴斯基公布了其研究的技術(shù)細(xì)節(jié),這將有助于受感染機(jī)構(gòu)檢測到這些最早可追溯到2001年的間諜軟件。這種曝光將進(jìn)一步打擊NSA監(jiān)視的能力,此前NSA前承包商雇員愛德華·斯諾登大量披露機(jī)密文件,影響了美國與盟國的關(guān)系以及美國科技產(chǎn)品的銷售。
這些新間諜工具的曝光可能導(dǎo)致更大抵制西方技術(shù),特別是中國,該國已經(jīng)制定法規(guī)要求多數(shù)銀行技術(shù)提供商提供軟件代碼以備審查。美國總統(tǒng)奧巴馬情報(bào)及通信技術(shù)評審小組5位成員之一彼得·斯懷爾(Peter Swire)稱,卡巴斯基的報(bào)告顯示,美國在決定使用軟件漏洞知識用于情報(bào)收集前,應(yīng)該考慮對貿(mào)易和外交關(guān)系的影響,這點(diǎn)很重要。
他表示:“這些可能對美國其他利益帶來嚴(yán)重的負(fù)面影響。”卡巴斯基稱,間諜在如何在隱藏代碼固件中安裝病毒取得突破,而固件在電腦每次開啟時(shí)都會(huì)自動(dòng)啟動(dòng)。硬盤固件被間諜和網(wǎng)絡(luò)安全專家視為PC上第二有價(jià)值的目標(biāo),僅次于電腦啟動(dòng)時(shí)自動(dòng)喚醒的BIOS代碼。
卡巴斯基研究主管科斯汀·雷烏(Costin Raiu)稱:“硬件能不斷感染電腦。”他表示,雖然間諜活動(dòng)主管能控制數(shù)千臺電腦,盜取文件和竊聽任何他們想竊聽的內(nèi)容,但間諜活動(dòng)是精心挑選的,只針對最重要的外國目標(biāo)的電腦進(jìn)行遠(yuǎn)程控制。他稱,卡巴斯基發(fā)現(xiàn)只有少數(shù)特別有價(jià)值的電腦硬盤被感染。
卡巴斯基復(fù)原間諜軟件的行動(dòng)顯示,這些軟件可在10多家公司的硬盤中運(yùn)行,實(shí)際上威脅到了整個(gè)市場。西部數(shù)據(jù)、希捷、東芝、IBM、美光和三星的硬盤都包括在內(nèi)。西部數(shù)據(jù)、希捷和美光表示,他們不知道有這種間諜軟件。東芝和三星拒絕發(fā)表評論。IBM未回應(yīng)評論要求。
獲得源代碼
雷烏表示,間諜軟件的編寫者必須獲得引導(dǎo)硬盤運(yùn)轉(zhuǎn)的專有源代碼,這種代碼可作為了解漏洞的路線圖使用,讓間諜更容易發(fā)動(dòng)攻擊。他稱:“只是使用公開信息,要重寫硬盤操作系統(tǒng)的機(jī)會(huì)為0。”目前不清楚NSA是否獲得了硬盤的源代碼。
西部數(shù)據(jù)發(fā)言人史蒂夫·沙特克(Steve Shattuck)表示,該公司“沒有向政府提供源代碼”。其他硬盤制造商沒有說他們是否向NSA提供了源代碼。希捷發(fā)言人克里夫·奧夫(Clive Over)表示,其有了“安全措施防止篡改或逆向工程其固件和其他技術(shù)”。美光發(fā)言人丹尼爾·弗朗西斯科(Daniel Francisco)稱,該公司認(rèn)真對待產(chǎn)品安全性,“我們不知道任何外國代碼的情況”。
但NSA前特工稱,NSA有多種獲得科技公司源代碼的方法,包括直接索要和偽裝成軟件開發(fā)商。如果一家公司想出售產(chǎn)品給五角大樓或其他敏感的機(jī)構(gòu),政府會(huì)要求進(jìn)行安全審查以確保源代碼是安全的。卡巴斯基稱間諜軟件編寫者為“公式團(tuán)體”,因?yàn)樗麄兿矚g使用復(fù)雜的加密公式。
他們使用各種方法散播其他間諜軟件,如攻擊圣戰(zhàn)者網(wǎng)站、感染U盤和CD,開發(fā)自行傳播的電腦病毒Fanny。與Stuxnet一樣,F(xiàn)anny也利用了相同的軟件“零日”漏洞,說明2個(gè)團(tuán)隊(duì)有密切協(xié)作。
看完新聞,西瓜哥還是很震驚的。因?yàn)槟壳坝脖P主要就是希捷、西數(shù)和東芝,它們都被植入后門,也就是說幾乎已經(jīng)沒有一塊硬盤是安全的了。
我還仔細(xì)看了一些路透社的原文報(bào)導(dǎo)(后有鏈接),里面有一個(gè)感染的國家地圖。
我們看到,伊朗和俄羅斯幾乎每個(gè)行業(yè)都發(fā)現(xiàn)感染案例,中國還好,主要在外交部門和大學(xué)里面發(fā)現(xiàn)感染,而軍隊(duì)好像幸免于難。
西瓜哥再下載卡巴斯基實(shí)驗(yàn)室的研究報(bào)告,粗略了解了一下。
這個(gè)是報(bào)告里面的國家感染圖,而路透社的圖片應(yīng)該是根據(jù)這個(gè)重新編制的。
卡巴斯基說,方程組(EQUATION GROUP)感染是其目前發(fā)現(xiàn)的最先進(jìn)最復(fù)雜的網(wǎng)絡(luò)攻擊手段。為啥叫方程組,因?yàn)樗麄兿矚g采用多種復(fù)雜的加密算法。他們最NB的地方是有能力感染硬盤固件。
卡巴斯基還發(fā)現(xiàn),幾乎所有的方程組都必須和windows環(huán)境才能激活,但也有少量支持MAC OS X的。
還好,沒有看到LINUX,也許LUNIX是開源的,不好控制吧。這個(gè)也說明開源環(huán)境后門應(yīng)該少一些。
通過今天的學(xué)習(xí),西瓜哥有幾點(diǎn)感慨:
美國的科技還是太牛了,特別是后門技術(shù),原來聽說在網(wǎng)絡(luò)設(shè)備植入后門,沒有想到,硬盤也能植入。不服不行。
從感染的情況看,美國還算對中國友好,感染好像還沒有非常普遍,也許是中國早有一些措施(比如軍隊(duì)很少用windows?)。個(gè)人觀點(diǎn),這些技術(shù)掌握在美國手里,也許還有一些好處,比如打擊恐怖分子,美國這個(gè)世界警察的角色雖然不受人歡迎,但目前好像還是有存在的必要。
硬盤的后門要發(fā)揮作用,好像要和主機(jī)的操作系統(tǒng)配合起來。如果采用外部存儲的方式,由于存儲的操作系統(tǒng)是各個(gè)廠商專有的(OEM除外),因此,磁盤陣列上的硬盤也許有后門,但很難激活,外部存儲應(yīng)該不受硬盤后門的影響。因此,建議國家安全級別比較高的部門,采用國產(chǎn)的磁盤陣列應(yīng)該相對安全一點(diǎn),不建議采用SERVER SAN架構(gòu),因?yàn)檫@樣容易激活硬盤后門。
由于固態(tài)硬盤的控制芯片和HDD完全不同,而且現(xiàn)在很多國產(chǎn)廠商都是自己研發(fā)控制芯片。因此,SSD植入后門比較困難。而HDD只有希捷、西數(shù)和東芝三個(gè)廠商,美國很好控制。因此,高級別的安全存儲,采用國產(chǎn)SSD應(yīng)該更安全一些。
京公網(wǎng)安備 11010502049343號